Vulnérabilités dans le noyau Linux

De multiples vulnérabilités ont été découvertes dans le noyau Linux. Un attaquant distant peut obtenir des informations normalement chiffrées, ainsi que provoquer des impacts non-spécifiés pouvant potentiellement inclure le déni de service et l’exécution de code arbitraire.

CVE-2020-12654 [Score CVSS v3 : 7.1] : Une vulnérabilité de type dépassement de tas a été découverte dans le pilote mwifiex de Marvell intégré au noyau Linux. Un attaquant à portée du signal WiFi de la machine vulnérable peut provoquer un impact non-spécifié en présentant un point d’accès spécialement configuré. Les impacts typiques de cette catégorie de vulnérabilités incluent le déni de service et l’exécution de code arbitraire.

CVE-2020-1749 [Score CVSS v3 : 7.5 selon Red Hat] : Une vulnérabilité cryptographique a été découverte dans l’implémentation IPsec utilisée par le noyau Linux. Cette dernière ne chiffrant pas correctement les données dans certaines situations, un attaquant distant exploitant cette vulnérabilité peut obtenir des données sensibles normalement chiffrées.

Informations
+

Risques

  • Déni de service

  • Exécution de code arbitraire

Criticité

  • Score CVSS v3 : 7.5 maximum

Existence d’un code d’exploitation

  • Aucun code d’exploitation n’est disponible publiquement à ce jour

Composants vulnérables

  • CVE-2020-12654 : Linux avant la version 5.5.4

  • CVE-2020-1749 : détail des versions vulnérables non-disponible

CVE

  • CVE-2020-12654

  • CVE-2020-1749


Recommandations
+

Mise en place de correctifs de sécurité

  • Mettre à jour Linux vers une version non-vulnérable ou appliquer les correctifs proposés par la distribution utilisée

Solution de contournement

  • Aucune solution de contournement n’est disponible